Adversaries may execute active reconnaissance scans to gather information that can be used during targeting. Active scans are those where the adversary probes victim infrastructure via network traffic, as opposed to other forms of reconnaissance that do not involve direct interaction.
Adversaries may perform different forms of active scanning depending on what information they seek to gather. These scans can also be performed in various ways, including using native features of network protocols such as ICMP.[1][2] Information from these scans may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Search Open Technical Databases), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: External Remote Services or Exploit Public-Facing Application).
Angreifer können aktive Aufklärungs-Scans durchführen, um Informationen zu sammeln, die für ein gezieltes Vorgehen genutzt werden können. Aktive Scans sind solche, bei denen der Angreifer die Infrastruktur des Opfers über den Netzwerkverkehr sondiert, im Gegensatz zu anderen Formen der Aufklärung, die keine direkte Interaktion beinhalten.
Je nachdem, welche Informationen sie sammeln wollen, können die Angreifer verschiedene Formen des aktiven Scannens durchführen. Diese Scans können auch auf verschiedene Weise durchgeführt werden, einschliesslich der Verwendung nativer Funktionen von Netzwerkprotokollen wie ICMP.(Zitat: Botnet Scan)(Zitat: OWASP Fingerprinting) Informationen aus diesen Scans können Möglichkeiten für andere Formen der Aufklärung aufzeigen (z.B. Search Open Websites/Domains oder Search Open Technical Databases), den Aufbau operativer Ressourcen (z.B. Develop Capabilities oder Obtain Capabilities) und/oder den Erstzugang (z.B. External Remote Services oder Exploit Public-Facing Application).
Les adversaires peuvent exécuter des scans de reconnaissance actifs pour recueillir des informations pouvant être utilisées lors du ciblage. Les scans actifs sont ceux où l'adversaire sonde l'infrastructure de la victime via le trafic réseau, par opposition aux autres formes de reconnaissance qui n'impliquent pas d'interaction directe.
Les adversaires peuvent effectuer différentes formes de scans actifs en fonction des informations qu'ils cherchent à recueillir. Ces scans peuvent également être effectués de différentes manières, y compris en utilisant les caractéristiques natives des protocoles réseau tels que ICMP.(Citation : Botnet Scan)(Citation : OWASP Fingerprinting) Les informations provenant de ces scans peuvent révéler des opportunités pour d'autres formes de reconnaissance (ex : Search Open Websites/Domains ou Search Open Technical Databases), d'établir des ressources opérationnelles (ex : Développer des capacités ou Obtenir des capacités), et/ou un accès initial (ex : Services externes à distance ou Exploiter une application ouverte au public).
Gli avversari possono eseguire scansioni di ricognizione attive per raccogliere informazioni che possono essere utilizzate durante il targeting. Le scansioni attive sono quelle in cui l'avversario sonda l'infrastruttura della vittima attraverso il traffico di rete, al contrario di altre forme di ricognizione che non comportano interazione diretta.
Gli avversari possono eseguire diverse forme di scansione attiva a seconda delle informazioni che cercano di raccogliere. Queste scansioni possono anche essere eseguite in vari modi, incluso l'uso di caratteristiche native dei protocolli di rete come ICMP.(Citazione: Botnet Scan)(Citazione: OWASP Fingerprinting) Le informazioni di queste scansioni possono rivelare opportunità per altre forme di ricognizione (es: Search Open Websites/Domains o Search Open Technical Databases), stabilire risorse operative (ex: Develop Capabilities o Obtain Capabilities), e/o accesso iniziale (ex: External Remote Services o Exploit Public-Facing Application.
Aktives Scannen, ob nun nach offenen Ports, betriebenen Diensten oder Schwachstellen, stellt die initiale Phase fast aller Cyberangriffe dar. Egal ob legale Angriffe im Rahmen eines Pentests, im Rahmen von Bug Bounties oder im Bereich der Cyberkriminalität.
Die Angreifer verwenden eine grosse Anzahl unterschiedlicher Tools, Toolsammlungen oder auch zugeschnittene Distributionen von Betriebssystemen, die die gewünschten Tools enthalten und ein kleines Profil ermöglichen. Einige Beispiele: Ein mächtiges Scanningtool ist Nnmap , quasi das Schweizer Taschenmesser des aktiven Scannings. Ein mächtiges Toolset (genauer ein Framework) stellt bspw. metasploit dar. Als meistbenutzte und umfangreichste Distribution gilt kali.
Eine umfangreiche Informationsplattform zu Pentesting finden Sie unter pentest-standard.org. Ein spezieller Hinweis gebührt auch dem OSSTMM, dem Open Source Security Testing Methodology Manual.
Eine sehr wertvolle Informationsquelle stellt auch das github-Repository ""Awesome Penetration Testing"", das Sie durch verschiedenste Tools von Hacking bis Debugging führt, eine Liste wichtigter Cyber Security-Konferenzen enthält oder sich auch über Open Source Intelligence äussert und vieles mehr.
Literatur- und Quellenhinweise
Aktives Scannen, ob nun nach offenen Ports, betriebenen Diensten oder Schwachstellen, stellt die initiale Phase fast aller Cyberangriffe dar. Egal ob legale Angriffe im Rahmen eines Pentests, im Rahmen von Bug Bounties oder im Bereich der Cyberkriminalität.
Die Angreifer verwenden eine grosse Anzahl unterschiedlicher Tools, Toolsammlungen oder auch zugeschnittene Distributionen von Betriebssystemen, die die gewünschten Tools enthalten und ein kleines ...
L'analyse active, qu'il s'agisse de la recherche de ports ouverts, de services exploités ou de vulnérabilités, constitue la phase initiale de presque toutes les cyber-attaques. Qu'il s'agisse d'attaques légales dans le cadre d'un pentest, de bug bounties ou de cybercriminalité.
Les attaquants utilisent un grand nombre d'outils différents, des collections d'outils ou même des distributions de systèmes d'exploitation taillées sur mesure, qui contiennent les outils souhaités et permettent un petit profilage. Voici quelques exemples : Un outil d'analyse puissant est Nnmap , quasiment le couteau suisse de l'analyse active. Un ensemble d'outils puissant (ou plus précisément un framework) est par exemple metasploit. La distribution la plus utilisée et la plus complète est kali.
Vous trouverez une plate-forme d'information complète sur le pentesting à l'adresse pentest-standard.org. Une référence spéciale doit également être faite au OSSTMM, le manuel de méthodologie de test de sécurité open source.
Le dépôt github ""Awesome Penetration Testing"" est également une source d'information très précieuse, qui vous guide à travers différents outils, du hacking au débogage, contient une liste des principales conférences sur la cybersécurité ou parle de la veille open source, etc.
Littérature et sources.
L'analyse active, qu'il s'agisse de la recherche de ports ouverts, de services exploités ou de vulnérabilités, constitue la phase initiale de presque toutes les cyber-attaques. Qu'il s'agisse d'attaques légales dans le cadre d'un pentest, de bug bounties ou de cybercriminalité.
Les attaquants utilisent un grand nombre d'outils différents, des collections d'outils ou même des distributions ...
La scansione attiva, sia per porte aperte, servizi operati o vulnerabilità, è la fase iniziale di quasi tutti gli attacchi informatici. Non importa se si tratta di attacchi legali nel contesto di un pentest, nel contesto di bug bounties o nell'area del cybercrimine.
Gli aggressori usano un gran numero di strumenti diversi, collezioni di strumenti o anche distribuzioni su misura di sistemi operativi che contengono gli strumenti desiderati e permettono un piccolo profilo. Alcuni esempi: Un potente strumento di scansione è Nnmap , effettivamente il coltellino svizzero della scansione attiva. Un potente set di strumenti (o più precisamente un framework) è, per esempio, metasploit. La distribuzione più usata e completa è kali.
Una piattaforma informativa completa sul pentesting si trova su pentest-standard.org. Una nota speciale va anche a OSSTMM, l'Open Source Security Testing Methodology Manual.
Una fonte di informazioni molto preziosa è anche il repository github ""Awesome Penetration Testing"", che la guida attraverso un'ampia varietà di strumenti dall'hacking al debugging, contiene una lista di importanti conferenze sulla sicurezza informatica o parla anche di intelligence open source e molto altro.
Riferimenti bibliografici e fonti.
La scansione attiva, sia per porte aperte, servizi operati o vulnerabilità, è la fase iniziale di quasi tutti gli attacchi informatici. Non importa se si tratta di attacchi legali nel contesto di un pentest, nel contesto di bug bounties o nell'area del cybercrimine.
Gli aggressori usano un gran numero di strumenti diversi, collezioni di strumenti ...
Active scanning, whether for open ports, operated services or vulnerabilities, represents the initial phase of almost all cyber attacks. No matter if legal attacks in the context of a pentest, in the context of bug bounties or in the field of cybercrime.
Attackers use a large number of different tools, tool collections or even tailored distributions of operating systems that contain the desired tools and enable a small profile. Some examples: A powerful scanning tool is Nnmap , effectively the Swiss army knife of active scanning. A powerful toolset (more precisely a framework) is for example metasploit. The most widely used and comprehensive distribution is kali.
A comprehensive information platform on pentesting can be found at pentest-standard.org. A special note is also due to OSSTMM, the Open Source Security Testing Methodology Manual.
A very valuable source of information is also the github repository ""Awesome Penetration Testing"", which guides you through a wide variety of tools from hacking to debugging, contains a list of important cyber security conferences, or also talks about open source intelligence and much more.
Literature and source references.
Active scanning, whether for open ports, operated services or vulnerabilities, represents the initial phase of almost all cyber attacks. No matter if legal attacks in the context of a pentest, in the context of bug bounties or in the field of cybercrime.
Attackers use a large number of different tools, tool collections or even tailored ...
Article | Assessment |
---|---|
None assessed
|
There could be an assessment of a subtechnique. |
Forensic Domain | Assessment |
---|---|
None assessed
|
There could be a forensic assessment of a subtechnique. |
ID | Mitigation | Description |
---|---|---|
M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties. |
ID | Data Source | Data Component |
---|---|---|
DS0029 | Network Traffic | Network Traffic Content |
Network Traffic Flow |
Monitor for suspicious network traffic that could be indicative of scanning, such as large quantities originating from a single source (especially if the source is known to be associated with an adversary/botnet). Analyzing web metadata may also reveal artifacts that can be attributed to potentially malicious activity, such as referer or user-agent string HTTP/S fields.
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders.
Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.
Achten Sie auf verdächtigen Netzwerkverkehr, der auf ein Scanning hindeuten könnte, z.B. grosse Mengen, die von einer einzigen Quelle stammen (vor allem, wenn bekannt ist, dass die Quelle mit einem Gegner/Botnet verbunden ist). Die Analyse von Web-Metadaten kann auch Artefakte aufdecken, die auf potenziell bösartige Aktivitäten zurückgeführt werden können, z.B. HTTP/S-Felder mit Referer- oder User-Agent-Strings.
Viele dieser Aktivitäten haben eine sehr hohe Auftretens- und Falsch-Positiv-Rate und finden möglicherweise ausserhalb der Sichtweite des Zielunternehmens statt, was die Erkennung für Verteidiger erschwert.
Die Entdeckungsbemühungen können sich auf die entsprechenden Phasen des Lebenszyklus des Angreifers konzentrieren, z. B. während des Erstzugriffs.
Surveillez le trafic réseau suspect qui pourrait indiquer une analyse, comme de grandes quantités provenant d'une source unique (surtout si la source est connue pour être associée à un adversaire/botnet). L'analyse des métadonnées Web peut également révéler des artefacts pouvant être attribués à une activité potentiellement malveillante, comme les champs HTTP/S de chaîne de référence ou d'agent utilisateur.
Une grande partie de cette activité peut avoir un taux d'occurrence très élevé et un taux de faux positifs associé, tout en ayant lieu en dehors de la visibilité de l'organisation cible, ce qui rend la détection difficile pour les défenseurs.
Les efforts de détection peuvent se concentrer sur des étapes connexes du cycle de vie de l'adversaire, par exemple pendant l'accès initial.
Monitorare il traffico di rete sospetto che potrebbe essere indicativo di una scansione, come grandi quantità provenienti da una singola fonte (specialmente se la fonte è nota per essere associata ad un avversario/botnet). Analizzare i metadati web può anche rivelare artefatti che possono essere attribuiti ad attività potenzialmente dannose, come i campi HTTP/S di referer o user-agent string.
Molte di queste attività possono avere un tasso di occorrenza e di falsi positivi associato molto alto, oltre a svolgersi potenzialmente al di fuori della visibilità dell'organizzazione bersaglio, rendendo difficile la rilevazione per i difensori.
Gli sforzi di rilevamento possono essere concentrati su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale.